Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dos túneles de pila a través de una interfaz externa

Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6 puede usarse como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o en diferentes interlocutores al mismo tiempo.

Descripción de los modos de túnel VPN

En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original) dentro de un segundo datagrama IP. El encabezado de IP exterior contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las últimas direcciones IP de origen y destino. Los encabezados de IP exterior e interior pueden tener un campo de protocolo de IPv4 o IPv6. Los dispositivos de serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.

Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 en paquetes IPv4, como se muestra en Figura 1la. Los campos de protocolo para la cabecera exterior y la externa son IPv4.

Figura 1: Túnel IPv4 en IPv4Túnel IPv4 en IPv4

Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 en paquetes IPv6, tal y como se muestra en Figura 2. Los campos de protocolo para la cabecera interna y externa son IPv6.

Figura 2: Túnel IPv6 en IPv6Túnel IPv6 en IPv6

Los túneles IPv6-en-IPv4 encapsulan paquetes IPv6 en paquetes IPv4, tal y como se Figura 3muestra en la. El campo Protocol para el encabezado Outer es IPv4 y el campo Protocol para el encabezado interno es IPv6.

Figura 3: Túnel IPv6-en-IPv4Túnel IPv6-en-IPv4

Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 en paquetes IPv6, como se muestra en Figura 4la. El campo Protocol para el encabezado exterior es IPv6 y el campo Protocol para el encabezado interior es IPv4.

Figura 4: Túnel IPv4 en IPv6Túnel IPv4 en IPv6

Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family inet configurarse con ambos y family inet6.

Una interfaz física configurada con direcciones IPv4 e IPv6 puede usarse como la interfaz externa para túneles IPv4 e IPv6 paralelos a un interlocutor de una VPN de sitio a sitio basada en la ruta. Esta característica se conoce como túneles de pila dual y requiere interfaces st0 independientes para cada túnel.

Para VPN basadas en directivas, IPv6 en IPv6 es el único modo de túnel admitido y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Descripción de los túneles de pila dual a través de una interfaz externa

Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6 puede usarse como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o en diferentes interlocutores al mismo tiempo. En Figura 5, las interfaces físicas Reth 0.0 y GE-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.

Figura 5: Túneles de pila dualTúneles de pila dual

En Figura 5, deben configurarse interfaces independientes de túnel seguro (st0) para cada túnel VPN de IPSec. No se admiten los túneles IPv4 e IPv6 paralelos que estén enlazados a la misma interfaz st0.

Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family inet configurarse con ambos y family inet6.

Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a una VPN Peer, es recomendable local-address que configureedit security ike gateway gateway-nameel nivel de jerarquía [].

Si local-address está configurado, la dirección IPv4 o IPv6 especificada se utiliza como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y otra de IPv6 en una interfaz externa física local-address , la configuración no es obligatoria.

El local-address valor debe ser una dirección IP configurada en una interfaz del dispositivo de serie SRX. Es recomendable que local-address pertenezca a la interfaz externa de la puerta de enlace de ICR. Si local-address no pertenece a la interfaz externa de la puerta de enlace de ICR, la interfaz debe estar en la misma zona que la interfaz externa de la puerta de enlace de ICR y debe configurarse una directiva de seguridad intra-Zone para permitir el tráfico.

El local-address valor y la dirección de puerta de enlace de ICR remoto deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.

Si local-address no está configurado, la dirección de la puerta de enlace local se basará en la dirección de puerta de enlace remota. Si la dirección de la puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local será la dirección IPv4 principal de la interfaz física externa. Si la dirección de la puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local será la dirección IPv6 principal de la interfaz física externa.

Ejemplo Configuración de túneles de pila dual a través de una interfaz externa

En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos en una sola interfaz física externa a un interlocutor para VPN de sitio a sitio basadas en la ruta.

Aplicables

Antes de comenzar, lea comprensión de los modos de túnel VPN.

La configuración mostrada en este ejemplo sólo es compatible con VPN de sitio a sitio basadas en rutas.

Descripción general

En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo del mismo nivel:

  • El túnel IPv4 lleva el tráfico IPv6; funciona en el modo de túnel IPv6-in-IPv4. La interfaz de túnel seguro St 0.0 enlazada al túnel IPv4 se configura con la familia inet6 solamente.

  • El túnel IPv6 lleva tanto el tráfico IPv4 como IPv6; funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro St 0.1 enlazada al túnel IPv6 está configurada con las familias inet y inet6.

Tabla 1muestra las opciones de la fase 1 utilizadas en este ejemplo. La configuración de la opción de la fase 1 incluye dos configuraciones de puerta de enlace ICR, una al interlocutor IPv6 y la otra a IPv4 del mismo nivel.

Tabla 1: Opciones de la fase 1 para la configuración del túnel de doble pila

,

Valor

ICR propuesta

ike_proposal

Método de autenticación

Claves previamente compartidas

Algoritmo de autenticación

MD5

Algoritmo de cifrado

3DES CBC

Cesiones

3600 segundos

ICR Directiva

ike_policy

Medio

Ambiciosa

ICR propuesta

ike_proposal

Clave previamente compartida

Texto ASCII

Puerta de enlace de ICR IPv6

ike_gw_v6

ICR Directiva

ike_policy

Dirección de puerta de enlace

2000::2

Interfaz externa

Reth 1.0

ICR versión

IKEv2

Puerta de enlace de ICR IPv4

ike_gw_v4

ICR Directiva

ike_policy

Dirección de puerta de enlace

20.0.0.2

Interfaz externa

Reth 1.0

Tabla 2muestra las opciones de la fase 2 utilizadas en este ejemplo. La configuración de la opción fase 2 incluye dos configuraciones VPN: una para el túnel IPv6 y la otra para el túnel IPv4.

Tabla 2: Opciones de la fase 2 para la configuración del túnel de doble pila

,

Valor

Propuesta de IPsec

ipsec_proposal

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

3DES CBC

Directiva IPsec

ipsec_policy

Clasificado

ipsec_proposal

VPN de IPv6

test_s2s_v6

Enlazar interfaz

st0.1

Puerta de enlace ICR

ike_gw_v6

ICR la directiva IPsec

ipsec_policy

Establecer túneles

Justo

VPN IPv4

test_s2s_v4

Enlazar interfaz

st0.0

Puerta de enlace ICR

ike_gw_4

ICR la directiva IPsec

ipsec_policy

Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:

  • Enrutar el tráfico IPv6 hasta el 3000::1/128 hasta el St 0.0.

  • Enrutar el tráfico IPv6 hasta el 3000::2/128 hasta el St 0.1.

Una ruta estática se configura en la tabla de enrutamiento de valores predeterminados (IPv4) para enrutar el tráfico IPv4 a 30.0.0.0/24 hasta St 0.1.

El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].

Topología

En Figura 6, el dispositivo serie SRX a admite túneles IPv4 e IPv6 hasta dispositivo B. el tráfico ipv6 hacia 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 al tráfico 3000::2/128 e IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.

Figura 6: Ejemplo de túnel de pila dualEjemplo de túnel de pila dual

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Junos OS CLI usuario .

Para configurar túneles de pila dual:

  1. Configure la interfaz externa.

  2. Configure las interfaces de túnel seguro.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar rutas estáticas.

  6. Habilite el reenvío basado en flujos IPv6.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show security ike, show security ipsecshow routing-options, y show security forwarding-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 1 deben coincidir en los dispositivos del mismo nivel.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.

Comprobando rutas

Purpose

Comprobar las rutas activas.

Intervención

En modo operativo, escriba el show route comando.

Efectos

El show route comando enumera las entradas activas en las tablas de enrutamiento.